SQL 注入和 Postgres“CREATE SCHEMA”

Question

在 postgres 中使用 CREATE SCHEMA schema_name 时，如果需要用户输入 schema_name 参数，如何防止 SQL 注入？

schema_name 不能是带引号的值，因此 ActiveRecord::Base.sanitize() 将不起作用。 （如果您使用导轨）。

Answer 1

允许用户创建模式（通常是执行 DDL）是相当不寻常的（甚至是可怕的）。您确定要这样做吗？

在任何情况下，您都可以做通常的事情：要么清理您的输入（我猜如果您允许用户创建模式，至少您可以限制允许的名称 - 例如仅字母数字等），和/或使用准备好的语句，绑定架构名称（这取决于您的语言/环境）。

Answer 2

用户永远不应该拥有 DDL 权限，他们不需要它，而且它给了他们太多的权力。

您可以使用带有 quote_ident 的 SQL 函数来创建模式并避免 SQL 注入：

    CREATE OR REPLACE FUNCTION new_schema(IN _schemaname TEXT) 
    RETURNS bool 
    LANGUAGE plpgsql 
    AS
    $
    BEGIN;
      EXECUTE 'CREATE SCHEMA ' || quote_ident(_schemaname);

      RETURN true;
    END;
    $
    SECURITY DEFINER;

-- test:
SELECT new_schema('Frank; drop database template1');

Answer 3

我知道这可能不是您正在寻找的答案，但是如果您的设计让用户决定您的架构名称，但您不信任您的用户，那么您确实需要重新设计。让用户决定架构名称类似于要求用户决定类和函数名称。

如果你真的真的想这样做，我会使用正则表达式来限制为仅 16 个字母数字字符，以字母字符开头，在强制小写后 (/^[az][a-z0-9]{ 1,15}$/)。您还需要显式过滤掉“public”作为模式名称、information_schema（如果也允许使用下划线）和其他内置模式名称。

再次，我愿意打赌您真的不想这样做，并且有更好的方法来解决您的根本问题。